Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/11/2012
Descubierto un nuevo ‘rootkit’ que afecta a servidores Linux
Se ha detectado un nuevo rootkit que estaría infectando servidores Linux, inyectando código malicioso en las páginas y redireccionando a los visitantes a diferentes sitios plagados de malware, dirigido a usuarios de Windows.
Según Kaspersky Lab, que tras el descubrimiento han comenzado con el análisis del malware, el que han denominado como Rootkit.Linux.Snakso.a está diseñado para atacar sistemas de 64 bits y ha sido compilado para la versión del kernel Linux 2.6.32-5 utilizado en Debian Squeeze.
A pesar de lo llamativo del asunto, y es que el rootkit es capaz de trabajar directamente sobre el mismo kernel, los expertos que ya le han echado un vistazo dicen que no parece un desarrollo muy profesional, por la poca pericia de su creador para evitar su detección. Asimismo, la incidencia del mismo parece muy reducida.
Las conclusiones del análisis más completo publicado hasta la fecha (enlace anterior) incluyen lo siguiente:
- Teniendo en cuenta que este rootkit se utiliza para inyectar de forma no selectiva iframes en las respuestas del servidor web nginx, parece probable que este rootkit es parte de una operación de la delincuencia cibernética genérica y no un ataque dirigido. [...] Parece que esto no es una modificación de un rootkit a disposición del público. Más bien, parece que esto constituye el trabajo de un programador intermedio sin experiencia extensa con el kernel.
- Aunque la calidad del código sería insatisfactoria para dirigir un ataque grave, es interesante ver cómo los desarrolladores relacionados con el cibercrimen que han demostrado una gran habilidad con los rootkits Windows, se mueven en dirección Linux. La falta de cualquier ofuscación y análisis apropiado de respuesta HTTP es lo que finalmente ha llevado al descubrimiento de este rootkit, es un indicador más de que esto no es parte de un ataque sofisticado y dirigido.
- Sobre la base de las herramientas, técnicas y procedimientos empleados y alguna información de fondo que no se puede revelar públicamente, es probable que se trate de un atacante con sede en Rusia. Sigue siendo una pregunta abierta cómo los atacantes han ganado los privilegios de root para instalar el rootkit. Sin embargo, teniendo en cuenta la calidad del código, un exploit de elevación de privilegios costumbre parece muy poco probable.